Pesquisadores em cibersegurança revelaram uma série de vulnerabilidades críticas na plataforma Coolify, um sistema open-source para self-hosting.
As falhas permitem desde bypass de autenticação até execução remota de código, comprometendo completamente os servidores gerenciados pela ferramenta.
Entre os problemas identificados, destacam-se várias vulnerabilidades do tipo command injection em diferentes funcionalidades, como backup e importação de bancos de dados, configuração dinâmica de proxy, montagem de diretórios para armazenamento de arquivos e gerenciamento de scripts PostgreSQL.
Todas as falhas apresentam a pontuação máxima de gravidade (CVSS 10.0), indicando riscos severos.
Também foram encontradas vulnerabilidades que permitem a divulgação de informações sensíveis, como a chave privada do usuário root, além de uma falha de Cross-Site Scripting (XSS) que pode ser explorada por usuários autenticados com permissões limitadas durante a criação de projetos.
As versões afetadas vão até a 4.0.0-beta, com correções disponibilizadas a partir da 4.0.0-beta.451 para a maioria das falhas, embora algumas ainda não tenham uma solução claramente definida.
É fundamental que os usuários da Coolify atualizem suas instalações para as versões corrigidas o mais rápido possível, dada a criticidade dos ataques possíveis.
Segundo dados da plataforma de gerenciamento de superfície de ataque Censys, existem aproximadamente 52.890 hosts Coolify expostos na internet até 8 de janeiro de 2026.
A maior concentração está na Alemanha (15.000), Estados Unidos (9.800), França (8.000), Brasil (4.200) e Finlândia (3.400).
Até o momento, não há relatos de exploração ativa dessas vulnerabilidades em ambientes reais, mas o alto grau de severidade reforça a urgência na aplicação dos patches para evitar incidentes graves.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...